日本のインテリジェンスの大きすぎる課題　Cyber Threats and NATO 2030: Horizon Scanning and Analysis

Cyber Threats and NATO 2030: Horizon Scanning and Analysis（NATO Cooperative Cyber Defence Centre of Excellence、2020年12月）
https://ccdcoe.org/library/publications/cyber-threats-and-nato-2030-horizon-scanning-and-analysis/

今回はこれまでと趣向が違う。サイバーセキュリティのお話である。サイバーセキュリティさまざまな点で現代の民主主義と関わっている。これまでご紹介したほとんどの資料で民主主義の脅威として指摘されているネット世論操作に対処するのもサイバーセキュリティの重要な役割である。また、サイバーセキュリティ防御あるいは攻撃のための監視や調査などは民主主義的価値感とは相容れないことが多い。民主主義とサイバーセキュリティは良くも悪くも切っても切れない関係だ。
全体でおよそ270ページ、5つのパートに分かれた13章に及ぶ力作かつぎっちり文字が詰まっている大著である。なので一度に全てをご紹介せずに、気になる箇所を拾ってご紹介したい。
今回は、「PART IV Information Sharing, Cyber Threat Intelligence and Exercises 」の「 第10章 Considerations for NATO in Reconciling Barriers to Shared Cyber Threat Intelligence: A study of Japan, the UK and the US」をご紹介する。日本、イギリス、アメリカでの脅威情報共有の課題についての章だ。この章のためだけに2年かけて日本を含め80人の関係者や専門家に取材している。

・脅威情報共有の必要性と3つの障害
冒頭で脅威情報（Cyber Threat Intelligence＝CTI）の共有は、サイバー攻撃キャペーンに関する下記の4つを理解するために必要と説明してる。
(1) their true nature　狙い
(2) the global reach of effects　影響範囲
(3) the duration　期間
(4) the extent of data exfiltration and aggregation compromising national security　国家安全保障を脅かすデータ漏洩と集約の程度
日本とアメリカは軍事同盟関係にあり、2015年から日米の防衛ガイドラインにはサイバー攻撃が含まれている。そのためバランスの取れたCTIの共有は両国にとって重要な課題なのである。2013年の日米防衛フレームワークにはCTIの共有も含まれていた。
だが、実際にはCTIの共有は思ったようには進んでいない。障害は主に3つ。はっきりと書いていないが、日本側の問題ばかりである。正直、かなり手厳しい内容となっている。
(i) the capacity and willingness to share threat intelligence　CTI共有のための日本の能力とやる気の欠如
(ii) fuzzy boundaries of responsibility and accountability　日本側の担当と責任の所在の曖昧さ
(iii) incomplete or inaccurate understanding of partners’ expectations and strategic culture.　米国の意図や戦略文化の不完全あるいは不正確な理解
以下、それぞれの障害について紹介する。

・the capacity and willingness to share threat intelligence　CTI共有のための日本の能力とやる気の欠如
日本はアメリカや他の国とサイバーセキュリティに関する協定を結んでいるが、実際には日々の技術的な協力関係を築けていない。たとえばNATOの Malware Information Sharing Project (MISP)など。大きな原因は、アメリカのUS-CERT Automated Indicator Sharing (AIS)で標準となっているStructured Threat Information Expression (STIX) and Trusted Automated eXchange of Indicator Information (TAXII)に対応していないことである。
日本国内のいくつかの組織はSTIXを使用しているものの広く一般に採用されているわけではない。迅速な情報共有は前提である。自動化されたCTIの共有そのものは解決にはならず、国家の戦略などの文脈にそって人間の解釈が必要となる。しかし日本はCTIを含む機密情報の全体像を把握していない。その原因は防衛省のサイバー担当者などが直接ではなく連合国を介して情報を得ているためとしている。
また、自衛隊やその他の政府機関には異なる情報源からのCTI情報を統合するために必要なスキルや洞察力が欠如していることも指摘されている。
サイバーインシデントにあたっての調整機関である内閣サイバーセキュリティセンター（NISC）は予算が限られており、法的権限も他の機関や省庁と同等でなく、さらに人員は定期的に入れ替わるため、有効に機能しにくい。さらに実施にあたって各省庁が担当するため、さらにその機能は限定される。日本では人員のセキュリティクリアランスと管理プログラムがないことも障害となっている。CTIの分類方法は各国によって異なるが、一貫性を持って交換する必要がある。日本ではそれができていない。
同様の問題は日本の重要な国家インフラストラクチャ（CNI）を防御するための情報共有の仕組みである各ISACでも起きている。
日本はサイバー攻撃も視野に入れているが、NATOや他の国と連携するためには攻撃能力についての最低限の理解と透明性が不可欠である（つまり今は、最低限の理解すらないってことですね）。
日本がCTI共有を行うための前提となるさまざまな制約が存在し、これらを克服することは国家として取り組む必要がある。

・ fuzzy boundaries of responsibility and accountability　日本側の担当と責任の所在の曖昧さ
通常、サイバーセキュリティは国内外を対象とし、民間部門との連携は不可欠である。アメリカ、イギリス、日本はそれぞれ民間部門と情報を共有する仕組みがあるが、その能力や信頼度には開きがある。日本では被害にあった企業が政府の専門家を招き入れることに抵抗があるため、民間セクターのCTIの共有における透明性や信頼に限界がある。
日本の民間セクターはほぼ半数しかCTIの共有と活用ができておらず、アメリカの80％、ヨーロッパの65％に比べると遅れている。インセンティブをつけて民間部門に参加させるよう仕向ける必要がある。
日本の民間セクターは US Department of Treasury Office of Foreign Assets Control (OFAC)などのブラックリストに登録された企業や団体の情報を共有しない傾向がある。情報が確かでなかった場合の損失や会社の自主的な判断を優先したいことが理由だが、これによって日本の業者が製品を提供しているアメリカやNATO諸国にも問題が波及することになる。これは日本の文化的な問題であるが、CTIの共有と活用の大きな妨げとなっている。法制化によって推進されることが期待される。日本の自衛隊は報復などのためにサイバー攻撃能力を計画中だが、そのためには法律の改正が必要だけでなく、高度な脅威分析能力が必要となる（つまり今はその能力を持っていないと言っている）。
CNIとサプライチェーンの脆弱性を使用した脅威アクターの活動にはCTIの共有と関係者全てが責任を持って対応する必要がある。
政府が 脅威に対抗する方法は2つあり、ひとつは権限を委任し、階層的に対処する方法、もうひとつはリスク低減のために仲介組織を通じて調整を行う。日本は仲介モデル、イギリスは権限委任モデル、アメリカはハイブリッド型である。
日本の労働環境も問題の要因のひとつとなっている。いまだに終身雇用の習慣が残っており、サイバーセキュリティ技術者もあまり転職をせず、我慢していることが多い。日本のサイバーセキュリティ関係者の報酬は官公庁職員よりも低い水準である。

・incomplete or inaccurate understanding of partners’ expectations and strategic culture.　米国の意図や戦略文化の不完全あるいは不正確な理解
CTIの共有で各国が同じような体制、法律で対応することはあり得ないし、不必要である。必要なのは方法論と基準について最小限一致していることで、これによって当面の危機に対処できる。
戦略的文化は過去の経験から醸成される。アメリカ、イギリス、日本、そして中国はそれぞれ異なる戦略文化を持っている。日本は平和憲法に縛られ、攻撃的な行動は制限されている。
NATO加盟国の間で標準化されたIndications and Warning (I&W)を確立するためには、戦略文化が収束する場所としない場所を明らかにし、CTIの共有のための共通言語を確立することが必要だ。

・結論
とりあえず日本についてだけピックアップすると、日本にはCTIの共有を行える基盤はあるもの、戦略文化や民間セクターとの調整、人材の問題、法的制限など問題は山積みだ。
総じてこの章では日本に焦点があてられている。アメリカとイギリスに比べればサイバーセキュリティ面で遅れている面があるのは確かだし、彼らからすれば「オレたちはこれでやってる。そっちが合わせろ」ということになるのもいたしかたないのかも。

なお、インテリジェンスの基本的なことを確認するには、『サイバーセキュリティ: 組織を脅威から守る戦略・人材・インテリジェンス』（松原実穂子、新潮社、2019年11月20日）がおすすめ。

『近未来戦の核心サイバー戦－情報大国ロシアの全貌 』（佐々木孝博）
『現代ロシアの軍事戦略』（小泉悠）

民主主義の現在　https://note.com/ichi_twnovel/m/m6c3f2276706c
デジタル権威主義　https://note.com/ichi_twnovel/m/mf48c59039a4a